Zoe

o(* ̄▽ ̄*)ブ

PseudoManuscrypt :一次大规模的间谍软件攻击活动

2021年6月,Kaspersky ICS CERT 专家发现了一个恶意软件,其加载程序与 Manuscrypt 恶意软件有一些相似之处,Manuscrypt 是 Lazarus APT 组织的武器库的一部分。2020年,该组织在攻击不同国家的国防企业时使用了Manuscrypt。这些攻击在报告中被描述为[“Lazarus用ThreatNeedle攻击国防工业”](https://ics-cert.kaspersky.com/reports/2021/02/25/lazarus-targets-defense-industry-with-threatneedle/)。 奇怪的是,恶意软件的数据外泄通道使用了 KCP 协议的一个实现,这个实现以前只被看作是 APT41组织工具集的一部分。 我们将新发现的恶意软件命名为 PseudoManuscrypt。 PseudoManuscryptd的加载程序通过一个 MaaS 平台进入用户系统,这个 MaaS 平台在盗版软件安装档案中分发恶意软件。具体举例,PseudoManuscrypt 下载器是通过 Glupteba 僵尸网络安装的,Glupteba 僵尸网络的主要安装程序也是通过盗版软件安装程序分发平台发布的。这意味着,使用PseudoManuscrypt的攻击者所使用的恶意软件分发策略并没有显示出特定的目标。 在2021年1月20日至11月10日期间,卡巴斯基的产品在全球195个国家的35000多台电脑上阻止了 PseudoManuscrypt 恶意软件。如此大量的受攻击系统数量并不是 Lazarus 组织或 APT 组织攻击的特点。 攻击的目标包括大量的工业和政府组织,包括军事工业复合体的企业和研究实验室。 根据我们的遥测数据,至少有7.2% 受到了PseudoManuscrypt的攻击的计算机与工业控制系统有关,而这些系统被工程、智能建筑、能源、制造、建筑、公用事业和水管理等行业的组织所使用。 主要的 PseudoManuscrypt 模块具有广泛而多样的监视功能。它包括盗取 VPN 连接数据、记录按键、截取屏幕截图和视频、用麦克风录音、盗取剪贴板数据和操作系统事件日志数据(这也使盗取 RDP 认证数据成为可能)等等。从本质上讲,PseudoManuscrypt的功能几乎为攻击者提供了对受感染系统的完全控制。     更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1790/ 消息来源:Kaspersky,封面来自网络,译者:Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Windows 10 RCE:exp 就在链接中

我们通过IE11/Edge Legacy和MS Teams在Windows 10上发现了一个驱动代码执行漏洞,该漏洞由Windows 10/11默认处理程序中MS -officecmd: URI的参数注入触发。 通过其他浏览器进行攻击,受害者需要接受一个不显眼的确认对话框。或者,通过执行不安全URL处理的桌面应用程序,恶意URI也可以传递。 微软漏洞赏金计划 (MSRC) 响应不及时:起初,他们判断错误,并且完全忽略了这个问题。在我们反映后,该问题被归类为“关键,RCE”,但对其进行了分类的悬赏广告只获得了十分之一的奖励(5千美元与5万美元的差距)。他们在5个月后提交的补丁未能正确解决基本参数注入(目前在Windows 11上仍然存在)。 我们的研究过程很简单:我们决定两周内在默认的Windows10 URI处理程序中发现一个代码执行漏洞。考虑到Windows附带的URI处理程序的数量,很可能其他处理程序也可以找到漏洞。         更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1784/ 消息来源:PositiveSecurity,封面来自网络,译者:Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

PYSA :双重勒索攻击的幕后黑手

Hackernews 编译,转载请注明出处: NCC集团的安全分析师报告说,2021年11月的勒索攻击增加,双敲诈不断成为攻击者武器库的有力工具。 攻击者的重点也转移到属于政府部门的实体,这些实体收到的攻击比10月份多400%。 11月的焦点显然是PYSA勒索软件组织(又名Mespinoza),该组织感染的设备呈爆炸性上升,增长了50%。 其他占主导地位的勒索软件组织是Lockbit和Conti,它们对关键实体发起了攻击,尽管数量比前几个月有所减少。 2021年3月,越来越明显的迹象表明,PYSA活动达到了威胁水平,导致联邦调查局发布了一个关于攻击者活动升级的警报。 与目前几乎所有勒索软件组一样,PYSA从受损网络中过滤数据,然后对原始数据进行加密以中断操作。 被盗文件被用作赎金谈判的筹码,攻击者威胁说,如果不支付赎金,将公开发布数据。 敲诈勒索新趋势及策略   NCC集团报告关注的另一个攻击者是Everest,一个讲俄语的勒索团伙,目前正在使用一种新的勒索方法。 只要他们的赎金要求在预计的谈判时间内得不到满足,Everest就会将受害者公司网络的访问权卖给其他黑客。 这种做法给受损实体带来了额外的麻烦,因为它们现在必须同时应对多个感染和重复攻击。 NCC 集团的报告评论道:“虽然把勒索软件当作商品售卖这一模式在过去一年中大受欢迎,但一个组织放弃勒索请求并提供IT基础设施访问权,这是一个罕见的例子——但我们可能会在2022年及以后看到模仿行为。”。 预计在12月和未来几个月内,另一个趋势是利用Log4Shell漏洞部署勒索软件有效载荷。 Conti已经致力于开发基于Log4Shell漏洞的感染链,并可能利用它对易受攻击的网络执行攻击。 勒索软件是一种不断变化的威胁,它会迅速演变为新的攻击,因此需要采取一些安全预防措施来充分防范它。     消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Windows 注册表中隐藏的 DarkWatchman 恶意软件

Hackernews 编译,转载请注明出处: 一种名为“DarkWatchman”的新恶意软件出现在地下网络犯罪组织中,它是一种轻量级、功能强大的 JavaScript RAT(远程访木马),与C#键盘记录器配对。 根据 Prevailion 研究人员的一份技术报告,这种新型 RAT 是由讲俄语的攻击者部署的,他们的目标主要是俄罗斯的组织。 在11月初发现了DarkWatchman的第一次踪迹,当时攻击者开始通过带有恶意ZIP附件的网络钓鱼电子邮件传播恶意软件。   这些ZIP文件附件包含一个使用图标模拟文本文档的可执行文件。此可执行文件是一个自行安装的WinRAR归档文件,可以安装RAT和键盘记录器。   如果打开文件,用户将看到一条陷进弹出消息,内容为“未知格式”,但实际上,有效载荷已安装在后台。 DarkWatchman是一个非常轻量级的恶意软件,JavaScript RAT的大小只有32kb,而编译后的RAT只占用了8.5kb的空间。 它利用了大量的“LotL”二进制文件、脚本和库,并采用了隐蔽的方法在模块之间传输数据。 DarkWatchman的过人之处在于它为键盘记录器使用了Windows注册表无文件存储机制。 不再将键盘记录器存储在磁盘上,而是创建一个计划任务,以便在用户每次登录Windows时启动DarkWatchman RAT。   一旦启动,Darkwatchen将执行PowerShell脚本,该脚本使用.NET CSC.exe命令编译键盘记录器,并将其启动到内存中。 “键盘记录器作为模糊化的C#源代码分发,并作为Base64编码的PowerShell命令处理和存储在注册表中。当RAT启动时,它执行这个PowerShell脚本,该脚本反过来编译键盘记录器(使用CSC)并执行它,” Privailion研究人员Matt Stafford和Sherman Smith在他们的研究报告中解释道。 键盘记录器本身不与C2通信或写入磁盘。相反,它将其键盘日志写入一个用作缓冲区的注册表项。在其运行过程中,RAT会在将记录的击键发送到C2服务器之前清除该缓冲区。   因此,注册表不仅用作隐藏编码的可执行代码的地方,而且还用作临时位置来保存窃取的数据,直到它被提取到C2。 在C2通信和基础设施方面,DarkWatchman 的操作者使用DGA(域生成算法)和10项种子列表,每天生成多达500个域。 这给了他们卓越的生存能力,同时也使得通信监控和分析变得更具挑战性。 DarkWatchman的功能如下: 执行EXE文件(返回或不返回输出) 加载DLL文件 在命令行上执行命令 执行WSH命令 通过WMI执行其他命令 执行PowerShell命令 评估JavaScript 从受害计算机将ILE上载到C2服务器 远程停止并卸载RAT和键盘记录器 远程更新C2服务器地址或呼叫总部超时 远程更新RAT和键盘记录器 将autostart JavaScript设置为在RAT启动时运行 C2弹性域生成算法(DGA) 如果用户具有管理员权限,则会使用vssadmin.exe删除影副本 Privailion认为,DarkWatchman可能是由勒索软件集团定制的,或者是为勒索软件集团量身定做,因为它们需要为能力较弱的附属组织提供一种强大而隐蔽的工具。 该恶意软件可以远程加载额外的有效载荷,因此可以作为后续勒索软件部署的感染第一阶段。 由于DarkWatchman可以在初始感染后与攻击者控制的域通信,勒索软件操作者可以接管并部署勒索软件或直接进行文件提取。 这种方法将使分支组织的角色降级为网络渗透者,同时使RaaS操作更加实用和高效。     消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自HackerNews.cc ” 并附上原文链接

电信运营商在黑客间谍活动中成为攻击目标

Hackernews 编译,转载请注明出处: 研究人员发现了一种新的针对中东和亚洲电信和 IT 服务提供商的间谍黑客活动。 这项攻击活动已经进行了六个月,操作者似乎与伊朗支持的攻击者 MERCURY (又名 MuddyWater,SeedWorm,或 TEMP.Zagros)有关。 这份报告来自 Symantec 的威胁猎手团队,他们收集了以色列、约旦、科威特、沙特阿拉伯、阿拉伯联合酋长国、巴基斯坦、泰国和老挝最近发生的袭击事件的证据和工具样本。 瞄准 Exchange 服务器 攻击者似乎对易受攻击的 Exchange 服务器最感兴趣,他们将这些服务器用于 web shell 部署。 在最初的入侵之后,他们盗取帐户凭证并在企业网络中横向移动。在某些情况下,他们利用自己的立足点转向其他关联组织。尽管感染源不明,Symantec还是找到了一个名为“ Special discount program.ZIP”的 ZIP 文件,其中包含一个远程桌面软件应用程序的安装程序。 因此,攻击者可能正在向特定目标发送鱼叉式网络钓鱼邮件。 工具和方法 攻击者开始行动的第一个迹象通常是创建一个 Windows 服务,以启动一个 Windows 脚本文件(WSF) ,对网络进行侦察。 接下来,PowerShell 用于下载更多 WSFs,Certutil 用于下载隧道工具和运行 WMI 查询。 ”根据进程沿袭数据,攻击者似乎广泛使用脚本。这些可能是用于收集信息和下载其他工具的自动脚本。”Symantec的报告解释说。 “然而,在一个案例中,一个命令向 cURL 求助,这表明攻击者至少有一些动手操作键盘的行为。” 在目标组织中建立了他们的存在,攻击者使用了 eHorus 远程访问工具,这使他们能够做到以下几点: 1. 运送及(可能)运行本地安全认证子系统服务倾倒工具。 2. 提供(据信是) Ligolo 隧道工具。 3. 执行 Certutil 来请求其他目标组织的 exchangeweb 服务(EWS)的 URL。 为了转向其他电信公司,攻击者寻找潜在的 Exchange Web 服务链接,并为此使用以下命令: Exe-urlcache-split [ DASH ] f hxxps://[ REDACTED ]/ews/exchange [ . ] asmx Exe-urlcache-split [ DASH ] f hxxps://webmail. [ REDACTED ][ . ] com/ews 下面是攻击者使用的工具集的完整列表: ScreenConnect: 合法的远程管理工具 RemoteUtilities: 合法的远程管理工具 eHorus: 合法的远程管理工具 Ligolo: 反向隧道工具 Hidec:命令行工具,用于运行隐藏窗 Nping: 包生成工具 LSASS Dumper: 从本地安全认证子系统服务进程中转储凭证的工具 SharpChisel: 隧道工具 Password Dumper CrackMapExec: 公开可用的工具,用于自动化 Active Directory 环境的安全评估 ProcDump: 微软 Sysinternals 工具,用于监视应用程序的 CPU 峰值和生成崩溃转储,但也可以用作一般的进程转储工具 SOCKS5代理服务器: 隧道工具 键盘记录器: 检索浏览器凭据 Mimikatz: 公开的证书转储工具 大多数这些工具是安全进攻队通常使用的公开可用工具,因此在组织中它们可能不会引发警报。 链接至 MuddyWater 尽管来源并不确定,Symantec记录了两个 IP 地址,这两个地址与之前  MuddyWater 攻击中使用的基础设施相同。 此外,这个工具集还与Trend Micro的研究人员报告的2021年3月的攻击有几个相似之处。 尽管如此,许多伊朗政府支持的攻击者使用现有的公开工具,并定期更换基础设施,因此,目前还无法确定真正的幕后黑客。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

窃取信息恶意软件 TinyNuke 再次攻击法国用户

Hackernews 编译,转载请注明出处: 窃取信息的恶意软件TinyNuke在一项针对法国用户的新攻击中重新出现,该攻击向企业和从事制造、技术、建筑和商业服务的个人发送账单陷阱的电子邮件。 此攻击的目标是窃取凭据和其他私人信息,并在受损系统上安装额外的有效负载。 TinyNuke 的重新出现 TinyNuke恶意软件活动最早出现在2017年,在2018年活动最为频繁,然后在2019年大量减少活动,在2020年几乎消失。 在2021再次发现恶意软件部署的新攻击令人惊讶,但并非完全出乎意料。 Proofpoint一直关注这些活动,根据其研究人员的说法,这种重新出现通过两类不同的活动表现出来,分别是C2基础设施有效载荷和陷阱诱惑。 这也可能表明恶意软件由两个不同的攻击者使用,一个与TinyNuke最初的操作者相关,另一个与通常使用商业工具的操作者相关。 最后,TinyNuke与2018年的PyLocky分发或任何其他勒索软件感染没有相似之处。 托管在合法站点上的有效负载 攻击者通过合法的法国网站来托管有效负载URL,而可执行文件则被伪装成无害的软件。 对于C2通信,最近的攻击活动使用Tor,这与其中一个字符串“nikoumouk”使用的方法相同, 而“nikoumouk”在这些通信中使用的方法与2018年的分析中发现的俚语相同,我们可以进一步将该攻击活动与最初的攻击者联系起来。 “Proofpoint研究人员发现字符串“nikoumouk”被发送到C2服务器,但目的不明。根据信息共享合作伙伴和开源信息,攻击者在2018年以来的C2通信活动中使用了该字符串,”Proofpoint的报告解释道。 “该字符串在流行阿拉伯语中含侮辱意思,主要用于欧洲讲法语的郊区。” 在当前的攻击活动中,电子邮件包含下载ZIP文件的URL。这些ZIP文件包含一个JavaScript文件,该文件将执行PowerShell命令以下载和执行TinyNuke恶意软件。 就功能而言,TinyNuke loader可以通过Firefox、Internet Explorer和Chrome的表单抓取和web注入功能窃取凭据,还可以安装其他有效负载。 通过添加一个新的注册表项来保证持久性,如下所示: Persistence is secured by adding a new registry key as shown below: key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\x00E02BC647BACE72A1\xe4\x8d\x82 data: C:\Users\[User]\AppData\Roaming\E02BC647BACE72A1\firefox.exe Μise en garde 虽然正在进行的攻击活动使用特定的诱饵,攻击者可以更新他们的信息,以呈现新的受害者。此外,如果有新的攻击者使用TinyNuke,这可能意味着原始作者在暗网上出售它,或者它的代码可能在几年前在GitHub上发布后独立流通。不管怎样,它的部署次数可能会增加更多,针对目标部署的电子邮件诱饵的范围可能会变得非常广泛。 因此,保持警惕和避免点击嵌入式按钮是非常重要的,一旦点击嵌入式按钮,将导致网站托管恶意可执行压缩文件。由于这些站点在其他方面是合法的,您的Internet安全解决方案可能不会引起任何警告,因此需要您极端谨慎。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

恶意 Excel XLL 插件推送 RedLine 密码窃取恶意软件

Hackernews 编译,转载请注明出处:消息来源: 网络犯罪分子正在向网站联系表格和论坛发送垃圾邮件,以分发 Excel XLL 文件,而它会下载和安装 RedLine 恶意软件,用于密码和信息窃取。 RedLine 是一种信息窃取木马程序,它会窃取存储在 Web 浏览器中的 cookie、用户名和密码以及信用卡,以及受感染设备的 FTP 凭据和文件。 除了窃取数据,RedLine 还可以执行命令、下载和运行更多恶意软件,以及进行 Windows的屏幕截图。 所有这些数据都被收集并发送回攻击者那里,之后在犯罪市场上出售或用于其他恶意和欺诈活动。 在过去的两周里,BleepingComputer 的联系表格收到多次垃圾邮件,其中包含不同的网络钓鱼诱饵,如虚假广告请求、节日礼物和网站促销。 在对诱饵进行研究后,BleepingComputer 发现这是一项针对许多使用公共论坛或文章评论系统的网站的大规模活动。 在 BleepingComputer 发现的一些网络钓鱼诱饵中,攻击者创建了虚假网站来托管用于安装恶意软件的恶意 Excel XLL 文件。 例如,有一次攻击使用了以下垃圾邮件和一个模仿合法 Plutio 网站的虚假网站。   其他垃圾邮件伪装成付款报告、广告请求或礼品指南,其中包含指向托管在 Google 云端硬盘上的恶意 XLL 文件的链接,如下所示。 特别有趣的是针对网站所有者的诱饵,这种诱饵会请求在他们的网站上做广告并要求他们查看合约的条款,这会启动恶意“terms.xll”文件,并安装恶意软件。 把你网站上的广告位卖给我们,起价500美元/n你可以在下面的链接中阅读我们的条款 Https://drive.google /file/d/xxx/view? usp = sharing BleepingComputer 还收到了其他的诱饵邮件,如下所示: 感谢您使用我们的应用程序。您的付款已被批准。点击下面的链接可以看到您的付款报告:  https://xxx [ . ] link/report.xll   谷歌刚刚公布了2021年最热门的100件礼物,我赢得了一万美元。你也想要吗? 阅读和接受条款 Https://drive.google /file/d/xxx/view? usp = sharing 这些垃圾邮件活动旨在推送恶意 Excel XLL 文件,这些文件会在受害者的 Windows 设备上下载并安装 RedLine 恶意软件。 XLL 文件是一个插件,允许开发人员通过读取和写入数据、从其他源导入数据或创建自定义函数来执行各种任务来扩展 Excel 的功能。 XLL 文件只是一个包含一个“xlAutoOpen”函数的DLL 文件,在加载项打开时由 Microsoft Excel 执行。   BleepingComputer 和安全研究机构 TheAnalyst一起进行了测试,讨论这次攻击,我们做得测试并没有正确加载 XLL 文件,但它们可能适用于其他版本的 Microsoft Excel。 但是,使用 regsvr32.exe 命令或“rundll32 name.xll,xlAutoOpen”命令手动执行 DLL 会将 wget.exe 程序解压缩到%UserProfile% 文件夹,并使用它从远程站点下载 RedLine 二进制文件。     这个恶意的二进制文件保存为% UserProfile% JavaBridge32.exe [ VirusTotal] 然后被执行。一个注册自动运行条目也将被创建,每次受害者登录 Windows都会自动启动信息窃取软件 ReadLine。     一旦恶意软件被执行,它将搜索有价值的数据来窃取,包括存储在 Chrome、Edge、Firefox、Brave 和 Opera 浏览器中的凭据和信用卡。 由于 XLL 文件是可执行文件,攻击者可以使用它们在设备上执行各种恶意行为。因此,如果你收到这个文件,除非它来自受信任的来源,否则你绝不能打开它。 这些文件通常不作为附件发送,而是通过另一个程序或通过您的 Windows 管理员安装。 因此,如果您收到分发这些类型文件的电子邮件或其他消息,只需删除该消息并将其报告为垃圾邮件即可。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

研究发现 17 种恶意框架用于攻击空隙网络

Hackernews 编译,转载请注明出处:消息来源: 仅在2020年上半年就发现了四种不同的用于攻击实体隔离(air-gapped)网络的恶意框架,此类工具包的总数达到17个,并为黑客提供了网络间谍和机密信息外泄的可乘之机。 “所有的框架都被设计成执行某种形式的间谍活动,所有的框架都使用 USB 驱动器作为物理介质,在目标实体隔离网络中传输数据,”ESET 研究人员 Alexis Dorais-Joncas 和 Facundo Muñoz 在一份对这些框架的综合研究报告中说。 实体隔离是一种网络安全措施,旨在通过物理隔离系统与其他不安全的网络,包括局域网和公共互联网,防止未经授权访问系统。这也意味着传输数据的唯一方法是使用物理设备连接,例如 USB 驱动器或外部硬盘。 鉴于该机制是 SCADA 和工业控制系统(ICS)采取防御的最常见方式之一,受到机构支持或参与国家行动的 APT 组织越来越多地将目光投向关键基础设施,希望利用恶意软件渗透实体隔离的网络,以监视有价值的目标。 这家斯洛伐克网络安全公司表示,不少于75% 的框架是利用 USB 驱动器上的恶意 LNK 或 AutoRun 文件对实体隔离系统的初步破坏,或者在实体隔离网络中横向移动。 Some frameworks that have been attributed to well-known threat actors are as follows — 以下是一些众所周知的攻击者的框架: Retro ( DarkHotel 又名 apt-c-06或 Dubnium) Ramsay  (DarkHotel) USBStealer ( APT28 ,又名 sedinit,Sofacy,或 Fancy Bear) USBFerry ( Tropic Trooper ,又名 apt23或Pirate Panda) Fanny  ( Equation Group  ) USBCulprit  ( Goblin Panda ,又名 Hellsing 或 cycdek) PlugX  ( Mustang Panda ) ,以及 Agent.BTZ ( Turla Group ) 研究人员解释说: “所有的框架都设计了自己的方式,但它们都有一个共同点: 毫无例外,它们都使用了武器化的 USB 驱动器。”。“连接框架和离线框架之间的主要区别在于驱动器是否是武器化的。” 连接框架通过在连接系统中部署恶意组件来工作,该系统监视新 USB 驱动器的插入,并自动将攻击代码放置在气隙系统中,而像 Brutal Kangaroo、 EZCheese 和 ProjectSauron 这样的离线框架则依靠攻击者先感染自己的 USB 驱动器来从后门攻击目标机器。 作为预防措施,携带关键信息系统和敏感信息的组织应该谨防对连接系统的直接电子邮件访问,禁用 USB 端口和清理 USB 驱动器,限制可移动驱动器上的文件执行,并定期分析气隙系统中是否有任何可疑活动的迹象。 “保持一个完全实体隔离系统可以提供了额外的保护,” Brutal Kangaroo说。“但是,就像所有其它安全机制一样,实体隔离不是一种万灵药,也不能防止黑客利用系统更新不及时或员工不良操作导致的漏洞。”   消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Bazar 勒索软件深度分析

八月份,我们发现了一起由BazarLoader 感染开始的入侵事件。传递来源可能是一场网络钓鱼运动,该运动向受害者分发有密码保护的 zip 文件和改装化文件。word文档中的宏提取并执行了恶意的.HTA文档,该文档下载并加载了内存中的BazarLoader DLL。 对信息安全界有一个认知是很明显的,即从BazarLoader开始的入侵常常以Conti勒索软件结束。本次事件也得出了这样的结论。在涉及Conti勒索软件的事件中有一些明显的相似之处。勒索软件操作者的工具和执行的总体目的在整个集群中趋于匹配。当我们看我们之前的Conti 事件,这一点变得显而易见。这可能是由于一家分支机构泄露的Conti手册广泛传播。在本例中,我们看到了相同的事件模式,工具包括net、nltest、用于discovery的ShareFinder、用于C2的Cobalt Strike 和WMIC远程进程创建,以便扩展其在网络中的访问。     更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1774/ 消息来源:THE DFIR REPORT,封面来自网络,译者:Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

暗网市场 Cannazon 遭受大规模 DDoS 攻击后关闭

Hackernews编译,转载请注明出处: Cannazon是最大的大麻购买暗网交易市场之一,在上周遭受了 DDoS攻击后关闭。 正如管理员在一条签有 PGP 密钥的消息中解释的那样,他们正式下线了,并声称没有对他们的供应商进行退出诈骗。 管理员在2021年11月23日发布了这条消息,29日,Cannazon下线了,据说是永远下线了。   一次DDoS攻击导致网站关闭   本月初,该网站遭到了大规模的分布式拒绝服务攻击,这在暗网市场并不少见。 管理员减少了订单数量,并让市场部分下线一段时间暂缓情况,但这在社区中引起了轰动,用户担心即将到来的退出骗局。 因为管理员处理事件的方式缺乏透明度,网站关闭声明给用户道歉,声明如下: “我们非常抱歉,最后几天我们不得不隐瞒事实。在我们看来,这是防止一些供应商跑路、伤害各位和社区的最佳方式。”网站管理员的关闭声明如是说。 “如果某个供应商未能成功获得所有签名的比特币多重信息交易,他可以通过一条加密信息获得这些信息,这条信息将于本周晚些时候发布在 Dread 上。” 公告由Cannazon管理员发布 随着 Cannazon 的关闭,其他网站使用 Cannazon 的名字再创建在一个新的 Tor 地址也不足为奇。然而,新建的网站很可能目的是想要欺骗原网站的会员。 当一个知名的大型暗网平台下线时,虚假克隆网站的出现再正常不过了。   为什么这是个坏主意   如果你认为借助 vpn 或 Tor 保持匿名,并从暗网购买大麻是规避你们国家毒品法律的一种简单方法,那么你就忽略了其中涉及的大量风险。 首先,包括 Cannazon 和 CannahHome 在内的大多数平台都是会员制的。因此,所有用户在注册时都会给出一些部分信息。如果他们的服务器最终落入执法部门手中,买家就会被识别出来。 其次,即使在管理员承诺高水平交易安全的市场中,下订单时被骗的可能性总是很高。 第三,运送给你的任何毒品都可能含有危险的有毒物质,或者货品与你购买的完全不同。因此,食用它们可能会对你的健康造成严重的风险。 最后,在网上购买毒品在许多国家是非法的,并可能导致罚款和牢狱之灾。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接